CentOS linux 安装openssl(openssl拒绝服务漏洞【CVE-2022-0778】解决)
一、安装
1.下载相关openssl包
下载地址: https://www.openssl.org/source/
2.将下载好的压缩包放到 /app/server/nginx 路径下(根据自己实际需求定义)
3.切换至该路径
cd /app/server/nginx
4.压缩包解压
压缩包解压 :tar -zxvf openssl-3.0.0.tar.gz
5.切换到解压后的路劲
cd openssl-3.0.0
6.查看一下原安装版本
openssl version -a
7.设置配置
./config --prefix=/usr/local/openssl3.0.0 --openssldir=/usr/local/openssl3.0.0 shared zlib
①可能出现错误
1)安装gcc(编译依赖 gcc 环境)
yum install gcc-c++
2)安装 PCRE pcre-devel (包括 perl 兼容的正则表达式库)
yum install -y pcre pcre-devel
3)安装zlib(对 http 包的内容进行 gzip)
yum install -y zlib zlib-devel
②还可能出现的错误
Cant't locate IPC/Cmd.pm .......
需安装perl-IPC-Cmd包
执行命令
yum -y install perl-IPC-Cmd
8.编译安装(编译安装完不报错将会安装到 /usr/local/openssl3.0.0)
make
make install
二、配置链接库
1.在目录/etc/ld.so.conf.d目录下创建一个名为openssl-3.0.0.conf的文件
cd /etc/ld.so.conf.d
vim openssl-3.0.0.conf
2.输入(i:启用编辑,esc:退出编辑,:wq:保存退出,:q!:不保存退出)
/usr/local/openssl3.0.0/lib64
3.创建软链接
ln -s /usr/local/openssl3.0.0/lib64/libssl.so.3 /usr/lib64/
ln -s /usr/local/openssl3.0.0/lib64/libcrypto.so.3 /usr/lib64/
若报已存在(File exist),则进行覆盖
ln -sf /usr/local/openssl3.0.0/lib64/libssl.so.3 /usr/lib64/ln -sf /usr/local/openssl3.0.0/lib64/libcrypto.so.3 /usr/lib64/
4.重新加载动态链接
ldconfig -v
三、配置环境变量
1.备份旧的配置(/usr/bin/openssl为上个版本安装路径,此处为系统默认路径)
mv /usr/bin/openssl /usr/bin/openssl.backup
2.创建环境变量文件
vim /etc/profile.d/openssl.sh
3.写入
#Set OPENSSL_PATH
OPENSSL_PATH="/usr/local/openssl3.0.0/bin"
export OPENSSL_PATH
PATH=$PATH:$OPENSSL_PATH
export PATH
4.执行openssl.sh 文件,并输出环境变量
chmod +x /etc/profile.d/openssl.sh
source /etc/profile.d/openssl.sh
echo $PATH
5.检查OpenSSL位置
which openssl
6.检查系统配置
openssl version -a
2022-03-15
openssl出现拒绝服务漏洞【CVE-2022-0778】
由于证书解析时使用的 BN_mod_sqrt() 函数存在一个错误,它会导致在非质数的情况下永远循环。可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。
影响范围:
OpenSSL版本1.0.2:1.0.2-1.0.2zc
OpenSSL版本1.1.1:1.1.1-1.1.1m
OpenSSL版本 3.0:3.0.0、3.0.1
官方修复提交记录:
https://github.com/openssl/openssl/commit/9eafb53614bf65797db25f467946e735e1b43dc9#
解决办法:
openssl3.0.0升级到->openssl3.0.2
与上述安装步骤一致(将其中的其中openssl3.0.0修改为openssl3.0.2)
其中注意事项:
-
创建软链接时,需进行覆盖
-
ln -sf /usr/local/openssl3.0.2/lib64/libssl.so.3 /usr/lib64/ ln -sf /usr/local/openssl3.0.2/lib64/libcrypto.so.3 /usr/lib64/
-
备份时,需将路径修改为上次安装openssl的路径
-
mv /usr/local/openssl3.0.0 /usr/bin/openssl.backup
-
升级完毕后,如果使用的nginx做服务分发代理,nginx需重新编译安装,其中openssl依赖路径修改为最新路径(nginx安装可看:CentOS linux安装nginx)
结束